Android 系統爆出安全漏洞及惡意程式

根據 ars TECHNICA 報導，Android 系統近日來被發現兩個高危險性的安全漏洞，影響到許多設備。更嚴重的是，其中有不少設備恐因系統不支援，無法得到修補，將一直處於容易受到攻擊的風險中。

CVE 2016-3861 漏洞由 Google Project Zero 團隊研究員 Mark Brand 所發現。這個漏洞允許駭客在受害的手機上執行惡意程序，或提高入侵者的系統權限。Brand 警告這個漏洞具有高度風險，駭客可以用許多手法來攻擊。他沒有說明哪個 Android 版本包含此漏洞，但他指出，至少在最近幾個版本中都出現這個漏洞。

另一個被公布的漏洞 CVE 2016-3862 則類似先前被發現的 Stagefright 漏洞，駭客只要寄送含有惡意程式的 .jpeg 圖片就能攻擊此漏洞。若是透過 Gmail 或 Google Talk 寄送，這些惡意程式碼會隱藏在圖片檔的 EXIF 資料中。收件者就算沒有打開圖片也會被入侵。駭客將藉此取得 app 所有權限，或發動另一攻擊以取得系統或 root 權限。

此外，資訊安全公司 Checkpoint 在 Google Play 上發現名為 DressCode 的惡意程式，它會產生不實的廣告點擊，Checkpoint 研究人員表示，駭客還可以透過此惡意程式來破解內部網路，存取敏感文件。Google Play 上有 40 款以上程式被植入 DressCode，估計整體下載次數介於 50 萬到200 萬次之間。另一個名為 CallJam 的惡意程式嵌在名為「Gems Chest for Clash Royale」的 app 之中，它會擅自撥打付費電話，下載次數介於 10 萬到 50 萬次之間。目前這兩款惡意程式已由 Google Play 撤除。